لمّا كانت الخسائر التي يتكبدها كل من الأفراد والشركات على حد سواء باهظة جدًا بسبب الهجمات الإلكتروني، كانت مهمة الحفاظ على الأمن السيبراني مرهقة للغاية. خاصةً أن الخصوم يسعون إلى الاستفادة من النقاط العمياء، من خلال التركيز على الأماكن الدقيقة التي لم تتمكن فرق الأمن من الوصول إليها للمراقبة. ومن تلك الأماكن هو “نظام أسماء النطاق” DNS.
وحتى وقت قريب، لم تكن الشركة تولي DNS الأهمية المطلوبة فكان من مسؤولية فريق البنية التحتية لتقنية المعلومات ومن شؤون الشبكات فقط. أما الآن، فقد فُهم أن DNS يمكن أن يمثل أحد التهديدات الواضحة للأمن السيبراني، ليصبح موضوع اهتمام وزارات الأمن الوطني والمؤسسات الحكومية وشركات الاتصالات وغيرها.
يُشار إلى أن إدراك أهمية DNS جاء بعد التأكد من أن نحو 90% من البرامج الضارة تعتمد عليه للاختراق. ويتم استخدامه للأوامر والتحكم عن بُعد في البرامج الضارة، وتسرب البيانات إلى العالم الخارجي، والكثير من عمليات العبث الشائنة.
ولكن من الجيد أيضًا أنه يمكن لفرق الأمن الاستفادة من DNS كمصدر دفاع. وهنا نستعرض لكم 5 تهديدات للأمن السيبراني يمكن أن تكشف عنها سجلات DNS:
التهديد 1 – الآلات تنفذ الإجراءات التي لم تكن تفعلها في الوضع الطبيعي
موضوعات ذات صلة بما تقرأ الآن:
تنتج معظم الأجهزة المصممة خصيصًا لإنجاز أغراض محددة، مثل آلات المصنع ، وآلات البيع POS، والطابعات، نمطًا متوقعًا إلى حد ما لاستعلامات DNS. لذا فإن أي شيء خارج عن المألوف من أحد هذه الأجهزة يعني على الأرجح وجود مشكلة، حتى لو بدت حميدة. على سبيل المثال، إن كانت استعلامات DNS الناشئة عن جهاز POS في متجرك تبحث عن Google.com، فهذا يشير إلى وجود مشكلة. يُشار إلى أن هذا الأمر ينطبق أيضًا على الأجهزة ذات الأغراض العامة، مثل الحواسيب الشخصية.
التهديد 2 – استخدام DNS لنقل المعلومات، وليس فقط لإجراء اتصال
يعمل “التراسل النفقي” من خلال ترميز المعلومات وتحويلها إلى أسماء استعلام، والتي يتم فك تشفيرها لاحقًا بواسطة خوادم استلام مشبوهة. هناك بعض العلامات الأساسية، من منظور سجل DNS، أن هذا السلوك يحدث.
نظرًا لأن تشفير المعلومات غالبًا ما ينتج عنه خلط سلسلة من الأحرف معًا، تميل أسماء الاستعلام إلى فقدان كلمات القاموس الفعلية وتبدو أكثر مثل سلاسل الأحرف التي يتم إنشاؤها عشوائيًا. لذا إن وجدت خللًا في آلية تشفير المعلومات فهذا يعني أن هناك مشكلة.
التهديد 3 – تغيير حيوي حيث يتم إرسال الاستعلامات، خوارزميًا
تعد خوارزميات إنشاء النطاق بمثابة حل للخصم لتجاوز القوائم السوداء. إنهم ينشئون سلسلة من النطاقات التي لن يتعرف عليها جدار الحماية لحظرها. لذا فإن خوارزميات إنشاء النطاق تتطلب من الخصم تسجيل بعض النطاقات. ولتوفير التكلفة، يميل الخصوم إلى اختيار نطاقات المستوى الأعلى غير الشائعة TLDs من الامتدادات ذات السمعة الضعيفة مثل .biz و .work و hello..
وعلى غرار استعلامات التراسل النفقي، فإن استعلامات خوارزميات إنشاء النطاق سوف تبدو أيضًا ككلمات غير واضحة، مثل asdf.biz، و asdf.work، وasdf.hello .. إلخ.
التهديد 4 – استعلامات DNS المخفية
يعد برتوكول DoH، وهو اختصار لـ DNS over HTTPS، طريقة خاصة تمكن الأفراد من تصفح الإنترنت عن طريق تشفير استعلامات DNS وتجاوز سلسلة خادم DNS العادية. حين تكون على شبكة شركة، يعد حل DoH أمرًا خطيرًا لأنه يقلل من رؤية فرق الأمان. ويصبح السلوك المفاجئ والمجهد أكثر صعوبة في اكتشافه.
التهديد 5 – اختطاف البنية التحتية
نظرًا لأن عملية الاختطاف تنطوي على خصم يقوم بإدخال نفسه في سلسلة البحث عن DNS وتغيير المعلومات التي يمر بها، يمكن أن يكون فحص سجلات DNS للاستعلامات وإجاباتها مفيدة. إن تغيرت استجابة أحد الاستعلامات، وأشارت إلى عميل لا يجب أن يُرسل إليه عادةً، فقد يكون ذلك علامة على الاختطاف.
استمع إلى سجلات DNS الخاصة بك
إن DNS موجود فعلًا في كل شبكة. والسؤال هو، هل تستمع فرق الأمن إلى ما يقوله لهم؟